Am rămas cu o întrebare de la conferința DefCamp: cât de importante sunt datele personale în România? Ce facem, ne protejăm să nu ne fie furate, dar le dăm cu lejeritate în stânga și dreapta? De exemplu, în media s-a discutat destul de mult pe seama CNP-ului în perioada recensământului… dar nu am auzit să se discute faptul că ne este cerut în diverse alte locuri fără a fi siguri că sunt și protejate (bonuri de masă, carte de imobil, formulare “diverse”).
Ce sunt datele personale? Conform legii 677/2001 date cu caracter personal reprezintă orice date referitoare la o persoana fizica identificata sau identificabila (de exemplu: nume si prenume, adresa, locul si data nasterii, cod numeric personal, serie si numar de BI/CI, cetatenie, profesie, e-mail, telefon/fax, imaginea, locul de munca, semnatura, sexul, situatia familiala etc.).
Dacă analizăm un formular (fie și de pe web) putem comenta puțin aceste date:
Nume, prenume: caracter personal - îl facem cunoscut dar se și poate afla destul de ușor prin asociere (știm loc de muncă sau de pe Facebook/Twitter/Google +),
Adresa: caracter personal – o facem cunoscută dar se poate afla de la prietenii tăi, rudele tale sau cel mai ușor de la locul de muncă,
Locul și data nașterii: caracter personal - le facem cunoscute dar se și pot afla lejer de pe Facebook, de exemplu,
Alte elemente din categoria personale pe care le furnizăm în diverse situații (formular hotel, bancă, rețele de socializare): cetățenie, profesie, loc de muncă, telefon, mail, fotografie/imagine, sex, situație familială. În ceea ce privește semnătura olografă este o chestie aparte, destul de discutabilă… Oricum, mai discutabilă este cererea apartenenței politice “conform” Regulamentului BNR nr. 9/2008 privind cunoasterea clientelei in scopul prevenirii spalarii banilor si finantarii terorismului… Din aceeași categorie fac parte oare și declararea etniei, religiei și a limbii materne?
Oricum, următoarele le consider având caracter confidențial… cu alte cuvinte, dacă cele de mai sus se mai pot furniza la cerere, cele prezentate în continuare sunt cele care “fac diferențierea” când este vorba de un furt de identitate:
Cod Numeric Personal: caracter confidențial – dar îl trecem pe diverse formulare mai mult sau mai puțin protejate
Serie și număr carte de identitate: caracter confidențial – este necesar pentru identificare… se actualizează/schimbă…
Cont bancar și PIN-ul (cod personal de identificare), număr card… Pentru acestea băncile vă recomandă:
Va rugam sa NU comunicati informatii cu privire la identitatea personala, conturile, numar de card, data expirarii, codul PIN sau alte produse si servicii bancare detinute. Banca Transilvania va asigura ca nu va va solicita asemenea informatii.
Vorbeam cu Bogdan de o situație asemănătoare cu cea prezentată aici, și spuneam că lege există dar cine să o respecte. De multe ori se exagerează prin cererea unor documente sau a unor informații suplimentare celor pe care le cere legea. Cartea de imobil este un caz – informații clare (HG 839 din 28 iunie 2006) dar la care se adaugă un exces de zel “moștenit”. Chiar dacă sunt cerute (din categoria celor prezentate mai sus) doar Numele, prenumele, seria și numărul actului de identitate, formularul trebuie să specifice “Confidențial, date cu caracter personal, prelucrate în conformitate cu prevederile legii nr. 677/2001″…
Un altul este recensământul din 2011, unde chiar dacă legea este destul de clară (legea 170/2011 și OUG 34/2011), lasă posibilitatea de a fi interpretată. Dar oare câte cazuri dintre acestea mai sunt? De fapt mai am o întrebare: eu trebuie să știu legea pentru a mă proteja sau cel care-mi cere datele trebuie să știe și să aplice legea?
Revenind, până să fim asaltați de Phishing, Smishing, Vishing sau alte variante de colectare a informațiilor personale (teoretic, astea sunt “atacurile” pe care le prezentăm mai des pentru că au legătură cu partea de IT) trebuie să avem grijă la cele furnizate deliberat “instituțiilor” care-și afișează “prelucrare date cu caracter personal”… nu de alta, dar furtul de identitate se pare că este destul de serios… Dacă sunteți curioși puteți citi aici despre un caz de furt de identitate la Iași - duplicare carte de identitate cu schimbare de fotografie sau urmăriți o listă cu “top 10 furturi de identitate“…
Inițial am vrut să întreb “cine are voie sa ne ceara un act de identitate?” sau “cine ne poate cere o copie după actul de identitate sau chiar să facă ei acea copie?“… dar am realizat că nu asta ar fi o problemă, însă poate ar fi mai indicată întrebarea “răspunde cineva pentru o utilizare abuzivă a datelor cu caracter personal?“ …
În final putem să spunem că avem și legislație… dar cine o respectă?
“Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, modificata si completata, se aplica prelucrarilor de date cu caracter personal, efectuate, in tot sau in parte, prin mijloace automate, precum si prelucrarii prin alte mijloace decat cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau sunt destinate sa fie incluse intr-un asemenea sistem. Reprezinta date cu caracter personal orice date referitoare la o persoana fizica identificata sau identificabila (de exemplu: nume si prenume, adresa, locul si data nasterii, cod numeric personal, serie si numar de BI/CI, cetatenie, profesie, e-mail, telefon/fax, imaginea, locul de munca, semnatura, sexul, situatia familiala etc.). Legea nr. 677/2001 stabileste conditiile in care datele cu caracter personal pot fi prelucrate, inclusiv dezvaluite tertilor, precum si obligatia operatorului de a lua toate masurile tehnice si organizatorice pentru protejarea datelor. Astfel, datele personale pot fi dezvaluite unor terti, doar in cazul in care persoana vizata si-a dat in mod expres si neechivoc consimtamantul ori, in mod exceptional, in conditiile stabilite de art. 5 alin. (2) din Legea nr. 677/2001. Totodata, potrivit dispozitiilor art. 8 alin. (1) din actul normativ sus-mentionat, prelucrarea codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala poate fi efectuata numai daca persoana vizata si-a dat in mod expres consimtamantul sau prelucrarea este prevazuta in mod expres de o dispozitie legala.”
Update la articol:
